Virus Advanced XP Fixer

Question

Bonsoir,

J'ai besoin d'aide pour dépanner l'ordinateur familial, principalement utilisé par mes enfants. En fait, elles sont déprimées depuis une semaine car c'est la première fois que notre ordinateur est infecté par un virus ...

Pour ma part, c'est la première fois que je fais appel à un forum d'experts.

Je ne suis pas bon en informatique et j'ai consulté les précédents forums, d'après les symptomes (cafards sur l'écran et fenêtres d'alarmes intempestives d'infections virales), il semble que le Virus Advanced XP Fixer se soit installé sur notre ordinateur familial, avec un gros message permanent sur le bureau : "Warning - Spyware detected on your computer - Install an antivirus or spyware remover to clean your computer".
Ce dernier est équipé d'un antivirus Avast 4.8 Edition familiale (protection résidente) et de temps en temps je lance Lavasoft Ad-Aware SE Personal pour faire un contrôle supplémentaire.

Nous avons beaucoup de mal à travailler ou naviguer sur cet ordinateur car des fenêtres s'ouvrent en permanence au milieu de l'écran ne nous laissant pas le temps de consulter proprement les forums d'aides sur Internet.

C'est pourquoi, je me connecte d'un autre ordinateur portable (professionnel) pour pouvoir vous consulter.

Les principales questions que j'ai :
- Y a-t-il un risque de perte de données et doit-on faire une sauvegarde sur disque dur (portable), CD/DVD ou sur clé USB des données importantes du disque ?
- Comment peut-on télécharger les logiciels (Hijack This, Combofix ou autres) alors que l'ordinateur est infecté et polué par plein de fenêtres Avast et d'Alarmes Advanced XP fixer ...? Doit-on suspendre la connexion Internet de l'ordinateur infecté, télécharger les logiciels avec l'aide d'un autre ordinateur et ensuite transférer ceux-ci au moyen d'une clé USB ?
- Enfin, comment détruire complètement ce virus et retrouver un ordinateur sain.

Merci sincèrement pour votre aide, dans les meilleurs délais.

geoffrey5 · Answer

Salut !!

Il faudrait que tu fasse un rapport avec hijackthis pour vérifier les infections stp :

Télécharge  hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

-une fois installé, le renommer scan.exe
-Double-clic dessus 
- Clic sur "Do a system scan and save the log" 
- copier le rapport, le coller dans la réponse

Utilisateur anonyme · Answer

Bonsoir,

Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 
- Lance Hijackthis, puis sélectionne < do a system scan and save a logfile > 
- Enregistre le rapport sur ton bureau.
Et envoie, par collier/coller, ton log Hijackthis sur le forum,


A+

patou99 · Answer

Bonsoir,

Merci pour votre réponse rapide.
Mais, maintenant cela s'aggrave ...

Je m'apprettais à vous envoyer le rapport de Hijackthis (que je n'ai pas pu renommer en scan.exe), quand l'ordinateur s'est bloqué. Je n'avais plus la main.
Quand j'ai relancé l'ordinateur, c'est la catastrophe : je n'ai plus qu'un écran bleu avec le message d'alerte virus au milieu et plus aucun icone de travai ...!
Je précise qu'entre temps j'avais arrêter la protection résidente de Avast le temps d'écrire le message dans le forum.

Là je vous écris d'un autre ordinateur (portable) et ne sais plus quoi faire ....

Merci pour votre aide ....

Utilisateur anonyme · Answer

Ok,
alors télécharge depuis l'autre PC Combofix depuis le PC qui marche :

> Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.

Puis transfert le sur une clé USB sur l'infecté que tu démarre en mode sans échec.
> Démarre en mode sans échec : (image). Si problème : tuto ici

- Double clique combofix.exe
- Tape sur la touche 1 (Yes) pour démarrer le scan.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.



A+

patou99 · Answer

Désolé de poser tant de difficultés :
J'ai bien télécharger Combofix sur ma clé USB, mais en mode sans echec l'ordinateur infecté ne reconnait pas la clé USB quand elle est insérée.
Merci de me guider...

Utilisateur anonyme · Answer

Re,

Désolé de poser tant de difficultés,
T'inkiet pas...

:-)

Alors,
Peux tu essayer de faire un HiJackT en mode sans échec ? Puis poster le rapport.

Sinon,
Bin... on improvisera....

PS : Redémarre le moins possible le PC et execute un minimum de programmes....



A+

patou99 · Answer

J'ai bien le rapport HijackThis mais ne peut le transférer sur l'ordinateur sain car pas de connexion USB valable sur l'ordinateur infecté.
Merci.
A+

Utilisateur anonyme · Answer

Hum hum...
:-)

Bon, et tu ne peux pas démarrer en mode normal ?, sinon en mode sans échec avec prise en charge du réseau ?

Si tu peux (notamment en MSE avec prise en charge du réseau) alors fais le combofix et un HiJackT. Puis poste les rapports aussi.

Dis moi si tu rencontres des problèmes.
Bon courage.

+

patou99 · Answer

Je viens de me connecter en MSE avec prise en charge reseau.

Voici le rapport Hijackthis : (je vais essayer de telecharger combofix sur cet ordinateur)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:36:12 AM, on 6/22/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\TEMP\7EF3.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Program Files\Trend Micro\HijackThis\Scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
F2 - REG:system.ini: Shell=C:\WINDOWS\system32\drivers\services.exe Explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {A1116811-4845-411B-8BB5-EC236862E810} - C:\WINDOWS\system32\adsmsex.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {b5ac49a2-94f2-42bd-f434-2604812c897d} - C:\WINDOWS\system32\hdxjd4g.dll
O2 - BHO: C:\WINDOWS\system32\djki397g.dll - {b5af0562-94f3-42bd-f434-2604812c797d} - C:\WINDOWS\system32\djki397g.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [%FP%012-L2TP FWPortal.exe] "C:\Program Files\012Net\012Net-Cable dialer\FWPortal.exe" -no_dialog
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition D?couverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [advap32] "c:\635s06.exe" /r
O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [Help] C:\WINDOWS\system32\syskernel.exe
O4 - HKLM\..\Run: [Windows Anti Virus Control Center] winavscan.exe
O4 - HKLM\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe
O4 - HKLM\..\Run: [System32] C:\WINDOWS\system32\winds32.exe
O4 - HKLM\..\Run: system C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Amar\svchost.exe
O4 - HKLM\..\RunOnce: [tmp1822218] cmd /Q /C "C:\WINDOWS	mp1822187.bat"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: system C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Amar\svchost.exe
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [WintelUpdate] c:\jfkq.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: system C:\WINDOWS\system32\drivers\services.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows update loader] C:\Windows\xpupdate.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: userinit.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O21 - SSODL: eRkAzAEir - {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll
O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll
O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\djki397g.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CcEvtSvc (ccevtsvc) - Unknown owner - C:\WINDOWS\System32\CcEvtSvc.exe
O23 - Service: Check Point SSL Network Extender (cpextender) - Check Point Software Technologies - C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe
O23 - Service: Google Online Services - Unknown owner - C:\Documents and Settings\Amar\ie_updates3r.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICF (icf) - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

Utilisateur anonyme · Answer

Bonjour,
Bien joué !
Alors, c'est pas étonnant que ton ordi buggue....

:-)

Bon,
si tu as des problèmes avec Combofix (téléchargement, exécution....) fais plutôt le MalewareByte's. Si tu ne l'as pas encore fait alors laisse le de coté, on verra si on en a besoin plus tard... Si tu l'as fait : poste le rapport stp.


Toujours en MSE avec prise en charge du réseau :

> Télécharge MalwareByte's Anti-Malware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
- Installe le programme puis lance le stp.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour")
- Lance le MalwareByte's Anti-Malware puis clique sur "Executer un examen complet" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur "Oui" alors)
- Après suppression des infections : un rapport va être généré : sauvegarde le et poste le sur forum stp.


Ensuite,
>Télécharge et installe Ccleaner : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ , si besoin est tu trouveras des Tutoriaux ici, ici et là, fais les mises à jour puis ferme le programme.
>Lance Ccleaner,,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).


Réessaye de démarrer en mode normal,
poste alors un nouveau HiJackT (si tu ne peux pas en mode normal alors fais le en MSE).
(avec celui de MalewareByte's ou de Combo (ou les deux))

Bon dimanche.

patou99 · Answer

Salut,

Après avoir posté mon rapport Hijackthis, j'ai essayé toute la nuit de me connecter, avec mes deux ordinateurs (fixe et portable), sur le site de "commentcamarche" : sans succès ! J'ai cru que le site Internet m'avait laissé tomber ... ;-(

Pendant la nuit, j'ai réussi à installer et éxecuter Combofix.
Pour un résultat optimal, penses-tu nécessaire de télécharger MalewareByte's ? Il est peut être complémentaire ou plus efficace. Je n'ai aucun de souci à faire les deux si tu penses que c'est mieux.
Au fait, j'ai déjà Ccleaner installé sur mon ordinateur.

Voici le rapport Combofix, sauvegardé sur une clé USB (au fait cela remarche la clé USB !) :

ComboFix 08-06-20.4 - Amar 2008-06-22 3:43:17.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1255.972.1033.18.259 [GMT 3:00]
Running from: C:\Documents and Settings\Amar\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color
.
[i] ADS - svchost.exe: deleted 23552 bytes in 1 streams. /i

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\d.exe
C:\Documents and Settings\Amar\~tmp74.exe
C:\Documents and Settings\Amar\Start Menu\Programs\Startup\userinit.exe
C:\Documents and Settings\Amar\svchost.exe
C:\Documents and Settings\LocalService\Application Data\1049502718.exe
C:\Documents and Settings\LocalService\Application Data\748728960.exe
C:\Documents and Settings\LocalService\Application Data\903872836.exe
C:\Documents and Settings\LocalService\Application Data\910099139.exe
C:\Documents and Settings\LocalService\Application Data\install.dat
C:\Documents and Settings\LocalService\svchost.exe
C:\WINDOWS\alg.exe
C:\WINDOWS\smss.exe
C:\WINDOWS\system32\adsmsex.dll
C:\WINDOWS\system32\bzsqlpa.sys
C:\WINDOWS\system32\CcEvtSvc.exe
C:\WINDOWS\system32\crypts.dll
C:\WINDOWS\system32\dflgh8jkd2q1.exe
C:\WINDOWS\system32\dflgh8jkd2q2.exe
C:\WINDOWS\system32\dflgh8jkd2q5.exe
C:\WINDOWS\system32\dflgh8jkd2q6.exe
C:\WINDOWS\system32\dflgh8jkd2q7.exe
C:\WINDOWS\system32\dflgh8jkd2q8.exe
C:\WINDOWS\system32\djki397g.dll
C:\WINDOWS\system32\drivers\Ggj11.sys
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\system32\drivers\Winbg78.sys
C:\WINDOWS\system32\drivers\Winfm41.sys
C:\WINDOWS\system32\drivers\Winni02.sys
C:\WINDOWS\system32\drivers\Winnq54.sys
C:\WINDOWS\system32\drivers\Winui47.sys
C:\WINDOWS\system32\hdxjd4g.dll
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\maxpaynowti1.exe
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\winds32.exe
C:\WINDOWS\xpupdate.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CBEVTSVC
-------\Legacy_ccevtsvc
-------\Legacy_GOOGLE_ONLINE_SERVICES
-------\Legacy_ICF
-------\Legacy_NTMLSVC
-------\Legacy_WINUI47
-------\Service_bzsqlpa
-------\Service_cbevtsvc
-------\Service_ccevtsvc
-------\Service_Google Online Services
-------\Service_icf
-------\Service_Winui47

((((((((((((((((((((((((( Files Created from 2008-05-22 to 2008-06-22 )))))))))))))))))))))))))))))))
.

2008-06-22 01:57 . 2008-06-22 01:57 66,048 --a------ C:\uvjnee.exe
2008-06-22 01:57 . 2008-06-22 01:57 62,384 --a------ C:\WINDOWS\system32\pqasghjd.sys
2008-06-22 01:57 . 2008-06-22 01:57 21,504 --a------ C:\kvbktit.exe
2008-06-22 01:56 . 2008-06-22 01:56 39,502 -r-hs---- C:\WINDOWS\winavscan.exe
2008-06-22 01:56 . 2008-06-22 01:56 39,502 --a------ C:\WINDOWS\system32\uesk739.exe
2008-06-22 01:38 . 2008-06-22 01:38 <DIR> d-------- C:\Program Files\Trend Micro
2008-06-20 17:29 . 2008-06-20 17:29 48,640 --a------ C:\WINDOWS\system32\syskernel.exe
2008-06-10 09:28 . 2008-06-10 09:28 <DIR> d-------- C:\Documents and Settings\Patrick\Application Data\AXPFixer
2008-06-10 03:39 . 2008-06-20 17:37 <DIR> d-------- C:\Program Files\AXPFixer
2008-06-10 03:39 . 2008-06-10 03:39 <DIR> d-------- C:\Documents and Settings\Amar\Application Data\AXPFixer
2008-06-10 03:35 . 2008-06-10 03:35 172,032 --a------ C:\xdyytq.exe
2008-06-10 03:35 . 2008-06-10 03:35 172,032 --a------ C:\stfijws.exe
2008-06-10 03:35 . 2008-06-10 03:35 111,616 --a------ C:\WINDOWS\system32\uesk703.exe
2008-06-10 03:35 . 2008-06-10 03:36 53,248 --a------ C:\d1.exe
2008-06-10 03:35 . 2008-06-10 03:35 5,120 --a------ C:\wfpmx.exe
2008-06-10 03:35 . 2008-06-10 03:35 5,120 --a------ C:\jqix.exe
2008-06-10 03:35 . 2008-06-10 03:35 2 --a------ C:\-1404614419
2008-06-10 03:23 . 2008-06-10 03:23 77,824 --a------ C:\xldu.exe
2008-06-10 03:23 . 2008-06-10 03:23 12,800 --a------ C:\srotr.exe
2008-06-10 03:23 . 2008-06-10 03:23 12,800 --a------ C:\jfkq.exe
2008-06-10 03:22 . 2008-06-10 03:22 6,144 --a------ C:\WINDOWS\system32\uesk702.exe
2008-06-10 03:22 . 2001-08-23 15:00 4,224 --a------ C:\WINDOWS\system32\drivers\beeper.sys
2008-06-10 03:22 . 2008-06-22 01:57 1 --a------ C:\WINDOWS\system32\yzyoas.tmp
2008-06-10 03:21 . 2008-06-20 17:28 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp
2008-06-10 03:21 . 2008-06-20 17:28 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-06-10 03:21 . 2008-06-10 03:21 101,376 --a------ C:\1sdixp.exe
2008-06-10 03:21 . 2008-06-10 03:21 13,312 --a------ C:\635s06.exe
2008-06-10 03:21 . 2008-06-10 03:21 3,121 --a------ C:\Documents and Settings\Amar\ie_updates3r.exe
2008-06-08 19:04 . 2008-06-08 19:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-08 19:04 . 2008-06-08 19:04 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-30 17:58 . 2008-05-30 17:58 0 --a------ C:\LOG1.tmp
2008-05-29 00:14 . 2008-05-29 00:14 <DIR> d-------- C:\Program Files\ApecSoft
2008-05-29 00:14 . 2006-03-09 04:05 1,295,582 --a------ C:\WINDOWS\system32\cygwin1.dll
2008-05-29 00:14 . 2006-03-09 04:05 61,440 --a------ C:\WINDOWS\system32\cygz.dll
2008-05-28 09:38 . 2008-05-28 09:38 0 --a------ C:\LOG202.tmp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 23:07 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs
2008-06-21 20:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-06-05 18:00 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-05-30 16:01 --------- d-----w C:\Documents and Settings\Amar\Application Data\U3
2008-05-21 22:13 --------- d-----w C:\Program Files\eMule
2008-05-20 20:07 --------- d-----w C:\Program Files\Google
2008-05-04 10:49 --------- d-----w C:\Program Files\MIKSOFT
2008-05-02 15:32 --------- d-----w C:\Program Files\Free Audio Pack
2008-05-01 05:06 --------- d-----w C:\Documents and Settings\Amar\Application Data\Skype
2008-05-01 05:05 --------- d-----w C:\Documents and Settings\Amar\Application Data\skypePM
2008-04-27 15:21 --------- d-----w C:\Documents and Settings\Amar\Application Data\Azureus
2007-11-22 20:12 32 -c--a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
.

------- Sigcheck -------

md5deep: C:\WINDOWS\system32\svchost.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\winlogon.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:56 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-22 23:10 67128]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 18:07 196608]
"PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 18:21 1449984]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 18:00 1937408]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-19 09:15 68856]
"[system]"="C:\WINDOWS\system32\drivers\services.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 13:15 106496]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 13:13 77824 C:\WINDOWS\SOUNDMAN.EXE]
"%FP%012-L2TP FWPortal.exe"="C:\Program Files\[u]0/u12Net\[u]0/u12Net-Cable dialer\FWPortal.exe" [ ]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-28 14:30 221184]
"LogitechCameraAssistant"="C:\Program Files\Logitech\Video\CameraAssistant.exe" [2005-07-28 14:02 389120]
"LogitechVideo[inspector]"="C:\Program Files\Logitech\Video\InstallHelper.exe" [2005-07-28 14:09 73728]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 19:22 262144]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 17:43 57344]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 02:19 79224]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 14:36 229376]
"UMonit"="C:\WINDOWS\system32\umonit.exe" [2004-05-11 08:34 53248]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-23 16:49 98304]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NSLauncher"="C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe" [2006-11-28 02:12 2658304]
"Windows Anti Virus Control Center"="winavscan.exe" [2008-06-22 01:56 39502 C:\WINDOWS\winavscan.exe]
"[system]"="C:\WINDOWS\system32\drivers\services.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:56 15360]
"[system]"="C:\WINDOWS\system32\drivers\services.exe" [ ]
"winlogon"="C:\Documents and Settings\LocalService\svchost.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"eRkAzAEir"= {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll [2004-08-04 01:56 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ggj11.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mtt80.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winnq54.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winow14.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpk76.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winrh48.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winto50.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wintt71.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winuc04.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winux60.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Outlook Messenger\\OutlookMessenger.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Program Files\\Common Files\\Nokia\\Service Layer\\nsl_host_process.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\ftp.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\Program Files\\SimpleCenter\\Home Media Server.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R3 VNA;Check Point Virtual Network Adapter;C:\WINDOWS\system32\DRIVERS\vna.sys [2004-09-05 11:44]
S0 Mtt80;Mtt80;C:\WINDOWS\system32\Drivers\Mtt80.sys []
S0 winow14;winow14;C:\WINDOWS\system32\Drivers\Winow14.sys []
S0 Winpk76;Winpk76;C:\WINDOWS\system32\Drivers\Winpk76.sys []
S0 winrh48;winrh48;C:\WINDOWS\system32\Drivers\Winrh48.sys []
S0 winto50;winto50;C:\WINDOWS\system32\Drivers\Winto50.sys []
S0 wintt71;wintt71;C:\WINDOWS\system32\Drivers\Wintt71.sys []
S0 winux60;winux60;C:\WINDOWS\system32\Drivers\Winux60.sys []
S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 02:20]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 02:16]
S2 cpextender;Check Point SSL Network Extender;C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe [2004-09-05 11:44]
S3 {def85c80-216a-43ab-af70-1665edbe2780};{def85c80-216a-43ab-af70-1665edbe2780};C:\WINDOWS\TEMP\8D.tmp []
S3 fixustor;fixustor;C:\WINDOWS\system32\drivers\fixustor.sys [2004-05-11 09:38]
S3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-07-28 14:37]
S3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS\tj2knd5.sys [2002-10-14 08:40]
S3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS\tj2kunic.sys [2002-10-14 08:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1755ad7a-8b7c-11dc-a43a-54554344520f}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2dad35c7-823a-11dc-a438-54554344520f}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-22 03:47:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{def85c80-216a-43ab-af70-1665edbe2780}]
"ImagePath"="\??\C:\WINDOWS\TEMP\8D.tmp"
.
Completion time: 2008-06-22 3:50:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-22 00:50:41

Pre-Run: 18,582,372,352 bytes free
Post-Run: 18,531,217,408 bytes free

241

*******************************************

A la réception de tes nouvelles instructions, je les appliquerai ce soir car je ne suis pas à proximité de l'ordinateur infecté.

Merci pour toute ta patience ....

Utilisateur anonyme · Answer

Ok,

Après avoir posté mon rapport Hijackthis, j'ai essayé toute la nuit de me connecter, avec mes deux ordinateurs (fixe et portable), sur le site de "commentcamarche" : sans succès ! J'ai cru que le site Internet m'avait laissé tomber ... ;-(,

Pour moi aussi : le site était en dérangement.



Pendant la nuit, j'ai réussi à installer et éxecuter Combofix.
Pour un résultat optimal, penses-tu nécessaire de télécharger MalewareByte's ? Il est peut être complémentaire ou plus efficace. Je n'ai aucun de souci à faire les deux si tu penses que c'est mieux. ,

Oui combo est très efficace dans certains cas. Maintenant : c'est pas fini ! Tu es encore infecté...

Alors passe le Malewarebyte's et le Ccleaner. Puis poste un HiJackT après stp.


On supprime TOUTES les véroles. Sinon tu risques de très vite avoir de nouveaux problèmes....
Je te dirais quand il ne restera plus rien.


Bon dimanche.

patou99 · Answer

Bonsoir DllD,

En mode MSE, j'ai commence par effectuer un Combofix, puis le MalwareByte's Anti Malware suivi de Ccleaner comme decrit dans ton message precedent.

Ensuite j'ai lancer un Hijackthis dont tu trouveras le rapport a la fin du message.

Je precise que je n'ai pas pu demarrer en mode normal : ecran completement bleu et ordinateur bloque.
Je suis toujours donc en MSE avec prise en charge reseau.

-------------------------------------------------------------------------------------------------------------------------------

Rapport Combofix :

ComboFix 08-06-20.4 - Amar 2008-06-23 0:37:46.2 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1255.972.1033.18.288 [GMT 3:00]
Running from: C:\Documents and Settings\Amar\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color
.

((((((((((((((((((((((((( Files Created from 2008-05-22 to 2008-06-22 )))))))))))))))))))))))))))))))
.

2008-06-22 08:45 . 2008-06-22 08:45 <DIR> d-------- C:\Documents and Settings\Administrator
2008-06-22 01:57 . 2008-06-22 01:57 66,048 --a------ C:\uvjnee.exe
2008-06-22 01:57 . 2008-06-22 01:57 62,384 --a------ C:\WINDOWS\system32\pqasghjd.sys
2008-06-22 01:57 . 2008-06-22 01:57 21,504 --a------ C:\kvbktit.exe
2008-06-22 01:56 . 2008-06-22 01:56 39,502 -r-hs---- C:\WINDOWS\winavscan.exe
2008-06-22 01:56 . 2008-06-22 01:56 39,502 --a------ C:\WINDOWS\system32\uesk739.exe
2008-06-22 01:38 . 2008-06-22 01:38 <DIR> d-------- C:\Program Files\Trend Micro
2008-06-20 17:29 . 2008-06-20 17:29 48,640 --a------ C:\WINDOWS\system32\syskernel.exe
2008-06-10 09:28 . 2008-06-10 09:28 <DIR> d-------- C:\Documents and Settings\Patrick\Application Data\AXPFixer
2008-06-10 03:39 . 2008-06-20 17:37 <DIR> d-------- C:\Program Files\AXPFixer
2008-06-10 03:39 . 2008-06-10 03:39 <DIR> d-------- C:\Documents and Settings\Amar\Application Data\AXPFixer
2008-06-10 03:35 . 2008-06-10 03:35 172,032 --a------ C:\xdyytq.exe
2008-06-10 03:35 . 2008-06-10 03:35 172,032 --a------ C:\stfijws.exe
2008-06-10 03:35 . 2008-06-10 03:35 111,616 --a------ C:\WINDOWS\system32\uesk703.exe
2008-06-10 03:35 . 2008-06-10 03:36 53,248 --a------ C:\d1.exe
2008-06-10 03:35 . 2008-06-10 03:35 5,120 --a------ C:\wfpmx.exe
2008-06-10 03:35 . 2008-06-10 03:35 5,120 --a------ C:\jqix.exe
2008-06-10 03:35 . 2008-06-10 03:35 2 --a------ C:\-1404614419
2008-06-10 03:23 . 2008-06-10 03:23 77,824 --a------ C:\xldu.exe
2008-06-10 03:23 . 2008-06-10 03:23 12,800 --a------ C:\srotr.exe
2008-06-10 03:23 . 2008-06-10 03:23 12,800 --a------ C:\jfkq.exe
2008-06-10 03:22 . 2008-06-10 03:22 6,144 --a------ C:\WINDOWS\system32\uesk702.exe
2008-06-10 03:22 . 2001-08-23 15:00 4,224 --a------ C:\WINDOWS\system32\drivers\beeper.sys
2008-06-10 03:22 . 2008-06-22 01:57 1 --a------ C:\WINDOWS\system32\yzyoas.tmp
2008-06-10 03:21 . 2008-06-20 17:28 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp
2008-06-10 03:21 . 2008-06-20 17:28 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-06-10 03:21 . 2008-06-10 03:21 101,376 --a------ C:\1sdixp.exe
2008-06-10 03:21 . 2008-06-10 03:21 13,312 --a------ C:\635s06.exe
2008-06-10 03:21 . 2008-06-10 03:21 3,121 --a------ C:\Documents and Settings\Amar\ie_updates3r.exe
2008-06-08 19:04 . 2008-06-08 19:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-08 19:04 . 2008-06-08 19:04 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-30 17:58 . 2008-05-30 17:58 0 --a------ C:\LOG1.tmp
2008-05-29 00:14 . 2008-05-29 00:14 <DIR> d-------- C:\Program Files\ApecSoft
2008-05-29 00:14 . 2006-03-09 04:05 1,295,582 --a------ C:\WINDOWS\system32\cygwin1.dll
2008-05-29 00:14 . 2006-03-09 04:05 61,440 --a------ C:\WINDOWS\system32\cygz.dll
2008-05-28 09:38 . 2008-05-28 09:38 0 --a------ C:\LOG202.tmp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 23:07 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs
2008-06-21 22:57 17,408 ----a-w C:\WINDOWS\system32\svchost.exe
2008-06-21 20:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-06-05 18:00 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-05-30 16:01 --------- d-----w C:\Documents and Settings\Amar\Application Data\U3
2008-05-21 22:13 --------- d-----w C:\Program Files\eMule
2008-05-20 20:07 --------- d-----w C:\Program Files\Google
2008-05-04 10:49 --------- d-----w C:\Program Files\MIKSOFT
2008-05-02 15:32 --------- d-----w C:\Program Files\Free Audio Pack
2008-05-01 05:06 --------- d-----w C:\Documents and Settings\Amar\Application Data\Skype
2008-05-01 05:05 --------- d-----w C:\Documents and Settings\Amar\Application Data\skypePM
2008-04-27 15:21 --------- d-----w C:\Documents and Settings\Amar\Application Data\Azureus
2007-11-22 20:12 32 -c--a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
.

------- Sigcheck -------

md5deep: C:\WINDOWS\system32\svchost.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\winlogon.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((( snapshot@2008-06-22_ 3.50.28.04 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-22 00:47:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-22 21:36:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:56 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-22 23:10 67128]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 18:07 196608]
"PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 18:21 1449984]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 18:00 1937408]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-19 09:15 68856]
"[system]"="C:\WINDOWS\system32\drivers\services.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 13:15 106496]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 13:13 77824 C:\WINDOWS\SOUNDMAN.EXE]
"%FP%012-L2TP FWPortal.exe"="C:\Program Files\[u]0/u12Net\[u]0/u12Net-Cable dialer\FWPortal.exe" [ ]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-28 14:30 221184]
"LogitechCameraAssistant"="C:\Program Files\Logitech\Video\CameraAssistant.exe" [2005-07-28 14:02 389120]
"LogitechVideo[inspector]"="C:\Program Files\Logitech\Video\InstallHelper.exe" [2005-07-28 14:09 73728]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 19:22 262144]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 17:43 57344]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 02:19 79224]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 14:36 229376]
"UMonit"="C:\WINDOWS\system32\umonit.exe" [2004-05-11 08:34 53248]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-23 16:49 98304]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Dיcouverte\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NSLauncher"="C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe" [2006-11-28 02:12 2658304]
"Windows Anti Virus Control Center"="winavscan.exe" [2008-06-22 01:56 39502 C:\WINDOWS\winavscan.exe]
"[system]"="C:\WINDOWS\system32\drivers\services.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:56 15360]
"[system]"="C:\WINDOWS\system32\drivers\services.exe" [ ]
"winlogon"="C:\Documents and Settings\LocalService\svchost.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"eRkAzAEir"= {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll [2004-08-04 01:56 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ggj11.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mtt80.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winnq54.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winow14.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpk76.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winrh48.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winto50.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wintt71.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winuc04.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winux60.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Outlook Messenger\\OutlookMessenger.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Program Files\\Common Files\\Nokia\\Service Layer\\nsl_host_process.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\ftp.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\Program Files\\SimpleCenter\\Home Media Server.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R3 VNA;Check Point Virtual Network Adapter;C:\WINDOWS\system32\DRIVERS\vna.sys [2004-09-05 11:44]
S0 Mtt80;Mtt80;C:\WINDOWS\system32\Drivers\Mtt80.sys []
S0 winow14;winow14;C:\WINDOWS\system32\Drivers\Winow14.sys []
S0 Winpk76;Winpk76;C:\WINDOWS\system32\Drivers\Winpk76.sys []
S0 winrh48;winrh48;C:\WINDOWS\system32\Drivers\Winrh48.sys []
S0 winto50;winto50;C:\WINDOWS\system32\Drivers\Winto50.sys []
S0 wintt71;wintt71;C:\WINDOWS\system32\Drivers\Wintt71.sys []
S0 winux60;winux60;C:\WINDOWS\system32\Drivers\Winux60.sys []
S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 02:20]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 02:16]
S2 cpextender;Check Point SSL Network Extender;C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe [2004-09-05 11:44]
S3 {def85c80-216a-43ab-af70-1665edbe2780};{def85c80-216a-43ab-af70-1665edbe2780};C:\WINDOWS\TEMP\8D.tmp []
S3 fixustor;fixustor;C:\WINDOWS\system32\drivers\fixustor.sys [2004-05-11 09:38]
S3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-07-28 14:37]
S3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS\tj2knd5.sys [2002-10-14 08:40]
S3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS\tj2kunic.sys [2002-10-14 08:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1755ad7a-8b7c-11dc-a43a-54554344520f}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2dad35c7-823a-11dc-a438-54554344520f}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 00:39:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{def85c80-216a-43ab-af70-1665edbe2780}]
"ImagePath"="\??\C:\WINDOWS\TEMP\8D.tmp"
.
Completion time: 2008-06-23 0:40:07
ComboFix-quarantined-files.txt 2008-06-22 21:40:02
ComboFix2.txt 2008-06-22 00:50:47

Pre-Run: 22,419,890,176 bytes free
Post-Run: 22,414,708,736 bytes free

193

-------------------------------------------------------------------------------------------------------------------------

Rapport MalwareByte's :

Malwarebytes' Anti-Malware 1.18
Version de la base de donnיes: 880

1:04:06 AM 6/23/2008
mbam-log-6-23-2008 (01-04-06).txt

Type de recherche: Examen complet (C:\|E:\|)
Elיments examinיs: 72844
Temps יcoulי: 15 minute(s), 4 second(s)

Processus mיmoire infectי(s): 0
Module(s) mיmoire infectי(s): 0
Clי(s) du Registre infectיe(s): 3
Valeur(s) du Registre infectיe(s): 6
Elיment(s) de donnיes du Registre infectי(s): 0
Dossier(s) infectי(s): 26
Fichier(s) infectי(s): 75

Processus mיmoire infectי(s):
(Aucun יlיment nuisible dיtectי)

Module(s) mיmoire infectי(s):
(Aucun יlיment nuisible dיtectי)

Clי(s) du Registre infectיe(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectיe(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\[system] (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run\[system] (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\Windows Anti Virus Control Center (Backdoor.Bot) -> Quarantined and deleted successfully.

Elיment(s) de donnיes du Registre infectי(s):
(Aucun יlיment nuisible dיtectי)

Dossier(s) infectי(s):
C:\Program Files\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Advanced XP Fixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU\RunOnce (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM\RunOnce (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuAllUsers (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuCurrentUser (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine\BrowserObjects (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Patrick\Application Data\AXPFixer\AXPFixer\Quarantine\Packages (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU\RunOnce (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM\RunOnce (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuAllUsers (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuCurrentUser (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine\BrowserObjects (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\AXPFixer\AXPFixer\Quarantine\Packages (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.

Fichier(s) infectי(s):
C:\d1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\jqix.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\userinit.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\uvjnee.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\wfpmx.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\xldu.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\ie_updates3r.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Desktop\ieupdr2.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Documents and Settings\Amar\svchost.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Documents and Settings\Amar\Start Menu\Programs\Startup\userinit.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Documents and Settings\LocalService\svchost.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Documents and Settings\LocalService\Application Data\748728960.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Documents and Settings\LocalService\Application Data\903872836.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Documents and Settings\LocalService\Application Data\910099139.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\xpupdate.exe.vir (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\bzsqlpa.sys.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\CcEvtSvc.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\dflgh8jkd2q1.exe.vir (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\dflgh8jkd2q2.exe.vir (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\dflgh8jkd2q5.exe.vir (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\dflgh8jkd2q6.exe.vir (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\dflgh8jkd2q7.exe.vir (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\djki397g.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hdxjd4g.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\maxpaynowti1.exe.vir (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\services.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0000003.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0003026.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0004030.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0004031.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0004033.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0004045.exe (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0004048.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP2\A0004052.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0006071.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009076.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009085.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009086.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009088.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009090.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009092.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009093.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009094.sys (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009097.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009098.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009099.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009100.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009101.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009104.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009105.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009106.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009108.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009109.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\winavscan.exe (BackDoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pqasghjd.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uesk739.exe (BackDoor.Bot) -> Quarantined and deleted successfully.
C:\Program Files\AXPFixer\AXPFixer.exe.local (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Program Files\AXPFixer\database.dat (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Program Files\AXPFixer\license.txt (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Program Files\AXPFixer\MFC71.dll (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Program Files\AXPFixer\MFC71ENU.DLL (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Program Files\AXPFixer\msvcp71.dll (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Program Files\AXPFixer\msvcr71.dll (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Program Files\AXPFixer\Uninstall.exe (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Advanced XP Fixer\Advanced XP Fixer.lnk (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Advanced XP Fixer\How to Register Advanced XP Fixer.lnk (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Advanced XP Fixer\License Agreement.lnk (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Advanced XP Fixer\Register Advanced XP Fixer.lnk (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Advanced XP Fixer\Uninstall.lnk (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\lvuvc.hs (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ctfmonb.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Start Menu\Programs\Advanced XP Fixer.lnk (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Amar\Application Data\Microsoft\Internet Explorer\Quick Launch\AXPFixer.lnk (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Desktop\AXPFixer.lnk (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully.

--------------------------------------------------------------------------------------------------------------------------------

Et apres Ccleaner, dernier Hijackthis effectue :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:16:47 AM, on 6/23/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition D?couverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: system C:\WINDOWS\system32\drivers\services.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: eRkAzAEir - {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Check Point SSL Network Extender (cpextender) - Check Point Software Technologies - C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

Utilisateur anonyme · Answer

Bonsoir,
Oui il en reste encore.....

Alors,
> Lance Hijackthis :
- Puis sélectionne < Do a system scan only >
- Coche les cases des lignes suivantes :

O4 - HKUS\S-1-5-18\..\Run: system C:\WINDOWS\system32\drivers\services.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM') 

O21 - SSODL: eRkAzAEir - {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet)
- Clic sur < fixe checked >

Après, (je me suis aperçu après que tu as fais le MalwareByte's... alors qu'en fait le Combo devait venir après, d'ailleurs je ne te l'avais pas encore demandé : pas grave :-))

> Avec Combofix :
- Ferme tout tes navigateurs (donc copie ou imprime les instructions suivantes avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

File::
C:\uvjnee.exe 
C:\WINDOWS\system32\pqasghjd.sys 
C:\kvbktit.exe 
C:\WINDOWS\system32\uesk739.exe 
C:\WINDOWS\system32\syskernel.exe
C:\xdyytq.exe
C:\stfijws.exe
C:\WINDOWS\system32\uesk703.exe
C:\d1.exe
C:\wfpmx.exe
C:\jqix.exe
C:\xldu.exe
C:\srotr.exe
C:\jfkq.exe
C:\WINDOWS\system32\uesk702.exe 
C:\WINDOWS\system32\yzyoas.tmp 
C:\WINDOWS\system32\blackster.scr
C:\1sdixp.exe
C:\635s06.exe 
C:\Documents and Settings\Amar\ie_updates3r.exe 
C:\WINDOWS\system32\drivers\lvuvc.hs
C:\Documents and Settings\All Users\Application Data\ezsid.dat

Folder::
C:\Documents and Settings\Patrick\Application Data\AXPFixer 
C:\Program Files\AXPFixer 
C:\Documents and Settings\Amar\Application Data\AXPFixer 
C:\-1404614419

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image.
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

> Passe un coup de Ccleaner en mode sans échec

> Relance ton PC en mode normal puis Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,

Et envoie, par collier/coller, ton log Hijackthis,

PS : Si ça ne marche toujours pas alors fais le en mode sans échec (poste le rapport Combo aussi stp).

Bon courage,

A+

patou99 · Answer

Bonsoir,

En effet, il en reste encore.
Mercci pour tes nouvelles consignes.

Je serai chez moi demain soir pour effectuer toutes ces operations.

Desole, pou l'ordre entre le Combofix et le MalwareByte's ... J'ai voulu bien faire pour t'envoyer tous les rapports.

A demain soir.

geoffrey5 · Answer

Salut !!

Télécharger sur le bureau malware bytes : http://ww.commentcamarche.net/telecharger/telechargement 34055379 malwarebyte s anti malware?thread
 

= double-clic sur mbam-setup pour lancer l'installation 
= Installer simplement sans rien modifier 
= Quand le programme lancé ==> faire une mise à jour ensuite cocher Exécuter un examen complet 
= Clic Rechercher 
= Eventuellement décocher les disque à ne pas analyser 
= Clic Lancer l'examen 
= En fin de scan , si infection trouvée 
==> Clic Afficher résultat 
= Fermer vos applications en cours 
= Vérifier si tout est coché et clic Supprimer la sélection 

un rapport s'ouvre le copier et le coller dans la réponse 

Puis redémarrer le pc !!

Et refais un nouveau rapport hijackthis.

geoffrey5 · Answer

j avais pas fais attention DllD dsl...

Et ton image à la c** "tu peux sortir", tu peux te la garder mdr..Je suivrai quand meme ce topic pour m assurer de la désinfection

patou99 · Answer

Bonjour,

Je confirme avoir lance Hijackthis (avec le fix checked), puis Combofix (avec CFScript), CCleaner, puis voici le rapport Hijackthis. Tout ceci en Mode sans echec car je precise qu'en mode normal j'ai toujours un ecran bleu et pas la main.

Rapport Hijackthis :
--------------------------------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:24:14 PM, on 6/24/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition D?couverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-21-1085031214-1897051121-725345543-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: eRkAzAEir - {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Check Point SSL Network Extender (cpextender) - Check Point Software Technologies - C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

Utilisateur anonyme · Answer

Salut,

Ok,
alors :
> Lance Hijackthis :
- Puis sélectionne < Scan >
- Coche les cases des lignes suivantes :

O21 - SSODL: eRkAzAEir - {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet)
- Clic sur < fixe checked >

Toujours en mode sans échec,
> Avec Combofix :
- Ferme tout tes navigateurs (donc copie ou imprime les instructions suivantes avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"eRkAzAEir"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ggj11.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mtt80.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winnq54.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winow14.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winpk76.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winrh48.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winto50.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wintt71.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winuc04.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winux60.sys]

File::
C:\WINDOWS\system32\dewt.dll

Folder::
C:\-1404614419

Driver::
pqasghjd
Mtt80
Winow14
Winpk76
Winrh48
Winto50
Wintt71
Winux60

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image.
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

> Relance ton PC en mode normal (essaye) puis Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,

Et envoie, par collier/coller, ton log Hijackthis,

PS : Si tu n'arrives pas à démarrer en mode normal alors fais le en mode sans échec.

As-tu le CD Windows ?

A+

Utilisateur anonyme · Answer

Re,
pour faire descendre la discussion (car il y a un bug qui bouffe la discussion pendant un certain temps).

J'écris ces mots....

A+ (fais ce qui est ici stp : http://www.commentcamarche.net/forum/affich 7015221 virus advanced xp fixer#21 ).

;-)

patou99 · Answer

Salut, Voici les 2 rapports Combo et Hijackthis. Toujours en mode sans echec, car le mode normal ne fonctionne pas. Juste une precision : chaque fois que j'applique Combofix, a la fin, quand le scan est acheve et le PC reboot, alors il reboot en mode normal (car je ne touche a rien sauf au choix de l'utilisateur) et il plante. Alors, je le relance manuellement en mode sans echec et c'est ensuite qu'il redige son rapport Combofix. J'esprere que l'on va y arriver, car j'ai l'impression que cela semble bien complique. Oui, j'ai le CD Windows XP SP2. Merci encore. A+ ----------------------------------------------------------------------------------------------------------------------------- Rapport Combo : ComboFix 08-06-20.4 - Amar 2008-06-24 18:47:05.4 - NTFSx86 NETWORK Microsoft Windows XP Professional 5.1.2600.2.1255.972.1033.18.296 [GMT 3:00] Running from: C:\Documents and Settings\Amar\Desktop\ComboFix.exe Command switches used :: C:\Documents and Settings\Amar\Desktop\CFScript.txt [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color FILE :: C:\WINDOWS\system32\dewt.dll . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\dewt.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_MTT80 -------\Service_Mtt80 -------\Service_winow14 -------\Service_Winpk76 -------\Service_winrh48 -------\Service_winto50 -------\Service_wintt71 -------\Service_winux60 ((((((((((((((((((((((((( Files Created from 2008-05-24 to 2008-06-24 ))))))))))))))))))))))))))))))) . 2008-06-23 00:45 . 2008-06-23 00:45 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-06-23 00:45 . 2008-06-23 00:45 d-------- C:\Documents and Settings\Amar\Application Data\Malwarebytes 2008-06-23 00:45 . 2008-06-23 00:45 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-06-23 00:45 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-23 00:45 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-22 08:45 . 2008-06-22 08:45 d-------- C:\Documents and Settings\Administrator 2008-06-22 01:38 . 2008-06-22 01:38 d-------- C:\Program Files\Trend Micro 2008-06-10 03:35 . 2008-06-10 03:35 2 --a------ C:\-1404614419 2008-06-10 03:22 . 2001-08-23 15:00 4,224 --a------ C:\WINDOWS\system32\drivers\beeper.sys 2008-06-08 19:04 . 2008-06-08 19:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-06-08 19:04 . 2008-06-08 19:04 1,409 --a------ C:\WINDOWS\QTFont.for 2008-05-30 17:58 . 2008-05-30 17:58 0 --a------ C:\LOG1.tmp 2008-05-29 00:14 . 2008-05-29 00:14 d-------- C:\Program Files\ApecSoft 2008-05-29 00:14 . 2006-03-09 04:05 1,295,582 --a------ C:\WINDOWS\system32\cygwin1.dll 2008-05-29 00:14 . 2006-03-09 04:05 61,440 --a------ C:\WINDOWS\system32\cygz.dll 2008-05-28 09:38 . 2008-05-28 09:38 0 --a------ C:\LOG202.tmp . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-21 20:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-06-05 18:00 --------- d-----w C:\Program Files\Lexmark X1100 Series 2008-05-30 16:01 --------- d-----w C:\Documents and Settings\Amar\Application Data\U3 2008-05-21 22:13 --------- d-----w C:\Program Files\eMule 2008-05-20 20:07 --------- d-----w C:\Program Files\Google 2008-05-04 10:49 --------- d-----w C:\Program Files\MIKSOFT 2008-05-02 15:32 --------- d-----w C:\Program Files\Free Audio Pack 2008-05-01 05:06 --------- d-----w C:\Documents and Settings\Amar\Application Data\Skype 2008-05-01 05:05 --------- d-----w C:\Documents and Settings\Amar\Application Data\skypePM 2008-04-27 15:21 --------- d-----w C:\Documents and Settings\Amar\Application Data\Azureus . ------- Sigcheck ------- 2008-06-22 01:57 17408 81fb764726092f5350d51b19464fdea9 C:\WINDOWS\system32\svchost.exe 2004-08-04 01:56 506368 2458b6e6d9a20b471d81de15f3ac2d98 C:\WINDOWS\system32\winlogon.exe 2004-08-04 01:56 1034752 c55762b3aa2946baa9c271f833fc3415 C:\WINDOWS\explorer.exe 2004-08-04 01:56 110592 17e8806b103c5543d6db0f26750ad595 C:\WINDOWS\system32\services.exe 2004-08-04 01:56 14848 f8d94eb878c20d0926d0e3829f2e7f6b C:\WINDOWS\system32\lsass.exe . ((((((((((((((((((((((((((((( snapshot@2008-06-22_ 3.50.28.04 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-22 00:47:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-24 15:54:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2008-06-22 00:31:43 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-06-24 12:56:53 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-06-22 00:31:43 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat + 2008-06-24 12:56:53 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat - 2008-06-22 00:31:43 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-06-24 12:56:53 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat - 2007-07-30 09:45:44 253,472 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2008-06-22 22:13:25 249,496 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:56 15360] "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-22 23:10 67128] "LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 18:07 196608] "PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 18:21 1449984] "NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 18:00 1937408] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-19 09:15 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 13:15 106496] "SoundMan"="SOUNDMAN.EXE" [2005-02-23 13:13 77824 C:\WINDOWS\SOUNDMAN.EXE] "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-28 14:30 221184] "LogitechCameraAssistant"="C:\Program Files\Logitech\Video\CameraAssistant.exe" [2005-07-28 14:02 389120] "LogitechVideo[inspector]"="C:\Program Files\Logitech\Video\InstallHelper.exe" [2005-07-28 14:09 73728] "LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 19:22 262144] "Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 17:43 57344] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 02:19 79224] "PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 14:36 229376] "UMonit"="C:\WINDOWS\system32\umonit.exe" [2004-05-11 08:34 53248] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-23 16:49 98304] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Dיcouverte\3.2\Apps\apdproxy.exe" [ ] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "NSLauncher"="C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe" [2006-11-28 02:12 2658304] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:56 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "eRkAzAEir"= {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.X264"= x264vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Outlook Messenger\OutlookMessenger.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Nokia\Nokia Software Updater\nsu_ui_client.exe"= "C:\Program Files\Common Files\Nokia\Service Layer\nsl_host_process.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\WINDOWS\system32\ftp.exe"= "C:\Program Files\Real\RealPlayer\realplay.exe"= "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"= "C:\WINDOWS\system32\LEXPPS.EXE"= "C:\Program Files\SimpleCenter\Home Media Server.exe"= "C:\Program Files\Azureus\Azureus.exe"= "C:\Program Files\Skype\Phone\Skype.exe"= R3 VNA;Check Point Virtual Network Adapter;C:\WINDOWS\system32\DRIVERS\vna.sys [2004-09-05 11:44] S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 02:20] S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 02:16] S2 cpextender;Check Point SSL Network Extender;C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe [2004-09-05 11:44] S3 fixustor;fixustor;C:\WINDOWS\system32\drivers\fixustor.sys [2004-05-11 09:38] S3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-07-28 14:37] S3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS j2knd5.sys [2002-10-14 08:40] S3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS j2kunic.sys [2002-10-14 08:40] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1755ad7a-8b7c-11dc-a43a-54554344520f}] \Shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2dad35c7-823a-11dc-a438-54554344520f}] \Shell\AutoRun\command - F:\LaunchU3.exe -a . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-24 18:54:45 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-06-24 18:57:30 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-24 15:57:25 ComboFix2.txt 2008-06-24 13:15:18 ComboFix3.txt 2008-06-22 21:40:08 ComboFix4.txt 2008-06-22 00:50:47 Pre-Run: 22,389,579,776 bytes free Post-Run: 22,394,310,656 bytes free 160 ---------------------------------------------------------------------------------------------------------------------------- Rapport Hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 7:03:47 PM, on 6/24/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Trend Micro\HijackThis\Scan.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition D?couverte\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O21 - SSODL: eRkAzAEir - {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Check Point SSL Network Extender (cpextender) - Check Point Software Technologies - C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

Utilisateur anonyme · Answer

Ok,
Oui : on avance, mais c'est vrai que c'est compliqué.
On essaye une dernière suppression.

Après on fait autrement sinon.


Alors,
Tu peux fixer cette ligne dans HiJackT :

O21 - SSODL: eRkAzAEir - {AC4748EE-06ED-E244-7A7F-AF3C9FB9A749} - C:\WINDOWS\system32\dewt.dll (file missing)



Ensuite,
> Avec Combofix :
- Ferme tout tes navigateurs (donc copie ou imprime les instructions suivantes avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]­
"eRkAzAEir"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1755ad­7a-8b7c-11dc-a43a-54554344520f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2dad35­c7-823a-11dc-a438-54554344520f}]

File::
C:\LOG1.tmp
C:\LOG202.tmp
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image.
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris). 
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


Si tu ne parviens toujours pas à arriver au bureau en mode normal on fais autrement.

PS : Prends le soin d'éteindre complètement ton PC avant de tester le mode normal.


Aller,
on va y arriver...


A+

patou99 · Answer

Bonsoir,

Pour ma part, je suis patient et on peut essayer autant de fois qu'il le faut ....
Mais, je ne veux pas abuser de ta gentillesse et de ta disponibilite !

Toujours rien en mode normal, voici le dernier rapport Hijackthis et Combofix:
----------------------------------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:00:58 PM, on 6/24/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition D?couverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Check Point SSL Network Extender (cpextender) - Check Point Software Technologies - C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

Utilisateur anonyme · Answer

Bonsoir,
Ok : c'est propre.
Je pense que des fichiers système sont endommagés.

Alors,
> Fais une récupération système : Tu as besoin du CD Windows pour cela.
- Redémarre ton PC puis accède au BIOS (Pour accéder au BIOS il faut appuyer sur F1 ou F2 au démarrage du PC).
Tuto : http://cofofides.heberg-forum.net/ftopic37_tutoriel-sur-le-bios-theorique.html
Regarde surtout ici : http://cofofides.heberg-forum.net/sutra96_tutoriel-bios-theorique.html#96
- Il faut que tu choisisses CDROM en première séquence de boot.
- Relance alors ton PC avec le CDRom Windows déjà dans le lecteur.
=> Windows Install se lance. Choisis ensuite réparer windows.
Tuto : http://www.cybersolus.net/windows/windows_xp/console/cd_console.html
Résumé : Boot CD => récupération de XP => c:\chkdsk (sous l'invite dos : c:\)

Dis moi où tu rencontres des problèmes sinon.

Bon courage.

;-)

geoffrey5 · Answer

DllD je ne comprends pas pourquoi tu veux faire un scrypt avec combofix, il n a plus d infections

geoffrey5 · Answer

""- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers) ""

tu lui as demander de faire ca alors qu il n avait déjà plus d infections :s

Utilisateur anonyme · Answer

Bon,
Ok,
.....



Patou ???
Peux tu faire une restauration système  ? 
Comme indiquée ici :
http://www.commentcamarche.net/forum/affich 7015221 virus advanced xp fixer?page=2#26


Merci.

patou99 · Answer

Bonsoir,

J'ai biien tenter de rebooter avec le CD Windows, mais cela ne fonctionne pas.
Il tente te lire le CD mais après quelques secondes saute et boot avec le disque dur.

J'ai vérifié le lecteur CD ROM, il fonctionne en reconnaissant un autre CD de données.
Mais, lorsque j'essaie de voir les données de mon CD Wndows, il a l'air vide ....?!?
Peut-être le CD est-il deffectueux ?  Je ne comprends rien car le CD n'a pas l'air endommagé (dans sa boîte de protection).

Là, les bras m'en tombent et je ne sais plus quoi faire ....
En tout cas, je vérifie demain au bureau le contenu de ce CD Windows sur un autre ordinateur.

Désolé de causer autant de soucis aux spécialistes que vous êtes.
A très bientôt.

patou99 · Answer

Bonsoir DllD,

J'ai réessayé plusieurs fois sur un autre ordinateur de lire ou graver mon CD Windows en vain.

J'ai maintenant besoin de vos conseils.
Un ami m'a conseillé de faire le ménage sur mon disque dur en le formattant, en ayant au préalable sauvegarder les données qui m'intéressent.

La semaine prochaine, j'envisage de racheter un CD de Windows, de formater le disque dur et de tout réinstaller progressivement.
Qu'en pensez-vous ?

Pour faire cela, mes questions pratiques sont :
- Mon disque dur est configuré en 2 partitions (C et E). Dois-je formater l'ensemble ou puis-je uniquement formater la partie C où se trouve le Système et tous les programmes.
- Avant le formatage, je dois sauvegarder des données. Dans l'état actuel de mon PC, où je travaille en mode sans échec, y-a-t-il un risque de sauvegarder des données (Photos jpg, Musique mp3, vidéo, fichiers Wave, présentations Powerpoint, fichiers Word ou Pdf) sur une clé USB, ou un DVD, ou même sur la partition E de mon disque dur.
- J'ai même un disque dur externe USB 2.0 de 80 Go, mais en mode sans échec le PC ne le reconnait pas. Peut-on l'activer tout en restant en mode sans échec ? Cela serait le plus pratique ...

Merci à DllD en particulier et à tous pour votre aide précieuse pour sortir de cette galère.
A biientôt.

patou99 · Answer

Bonsoir,
Un complément d'information, je viens de réussir à connecter mon disque dur externe (80 Go) sur un autre port USB et cela fonctionne bien.
Merci de me préciser si je peux faire une sauvegarde globale des données sans risque pour la suite.
A bientôt.

jordy · Answer

je suis infecté par advanced xp fixer et un pseudo antivirus xp 2008 s'est installé tout seul et me poluue sans cesse.
Je n'arrive pas à me debarrasser de ces "merdes".
help help!!!

Utilisateur anonyme · Answer

Bonsoir Patou, Avant de te répondre (oui : il existe d'autres solutions), peux tu faire ceci ? Démarre en mode sans échec avec prise en charge réseau, puis : > Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr N.B. : Le scan ne marche que sous Internet Explorer. - Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...) si possible. Allume les si necessaire. - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. - On va te demander de télécharger un contrôle active x, accepte . - Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer. - Poste le rapport qui sera généré stp. S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 Rappel : le scan est à faire sous Internet Explorer Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html Dis moi si tu as des problèmes. A+

patou99 · Answer

Bonsoir DllD,
Je suis content de reprendre la discussion. A+

Voici le rapport Kaspersky :

KASPERSKY ON-LINE SCANNER REPORT  
Monday, June 30, 2008 10:34:49 PM
Syst&#1496;me d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Derni&#1496;re mise &#1488; jour de la base antivirus Kaspersky : 30/06/2008
Enregistrements dans la base antivirus Kaspersky : 801646
 
 
Param&#1496;tres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Poste de travail 
C:\
D:\
E:\
F:\
G:\
I:\  
 
Statistiques de l'analyse 
Total d'objets analys&#1497;s 58493 
Nombre de virus trouv&#1497;s 27 
Nombre d'objets infect&#1497;s 76 / 0 
Nombre d'objets suspects 0 
Dur&#1497;e de l'analyse 01:02:25 

Nom de l'objet infect&#1497; Nom du virus Derni&#1496;re action 
C:\Documents and Settings\All Users\Documents\AOL Password Cracker.exe  Infect&#1497; : P2P-Worm.Win32.Socks.y  ignor&#1497;  
 
C:\Documents and Settings\All Users\Documents\Windows 2003 Advanced Server KeyGen.exe  Infect&#1497; : P2P-Worm.Win32.Socks.y  ignor&#1497;  
 
C:\Documents and Settings\Amar\Cookies\index.dat  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\Amar\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\Amar\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\Amar\Local Settings\History\History.IE5\index.dat  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\Amar\Local Settings\History\History.IE5\MSHist012008063020080701\index.dat  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\Amar\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\Amar\NTUSER.DAT  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\Amar
tuser.dat.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\QooBox\Quarantine\C\1sdixp.exe.vir  Infect&#1497; : Trojan-Downloader.Win32.Agent.sxh  ignor&#1497;  
 
C:\QooBox\Quarantine\C\635s06.exe.vir  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aec  ignor&#1497;  
 
C:\QooBox\Quarantine\C\d.exe.vir  Infect&#1497; : Trojan-Downloader.Win32.Agent.tya  ignor&#1497;  
 
C:\QooBox\Quarantine\C\Documents and Settings\Amar\~tmp74.exe.vir  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aed  ignor&#1497;  
 
C:\QooBox\Quarantine\C\Documents and Settings\LocalService\Application Data\1049502718.exe.vir  Infect&#1497; : Rootkit.Win32.Qandr.bu  ignor&#1497;  
 
C:\QooBox\Quarantine\C\jfkq.exe.vir  Infect&#1497; : Trojan-Proxy.Win32.Agent.ane  ignor&#1497;  
 
C:\QooBox\Quarantine\C\kvbktit.exe.vir  Infect&#1497; : Trojan-Downloader.Win32.Agent.tpf  ignor&#1497;  
 
C:\QooBox\Quarantine\C\srotr.exe.vir  Infect&#1497; : Trojan-Proxy.Win32.Agent.ane  ignor&#1497;  
 
C:\QooBox\Quarantine\C\stfijws.exe.vir  Infect&#1497; : Worm.Win32.Socks.agh  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\alg.exe.vir  Infect&#1497; : Trojan-Spy.Win32.Zbot.cha  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\smss.exe.vir  Infect&#1497; : Trojan-Downloader.Win32.Agent.sju  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\adsmsex.dll.vir  Infect&#1497; : Rootkit.Win32.Podnuha.fk  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\crypts.dll.vir  Infect&#1497; : Trojan-Downloader.Win32.Satray.bw  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Ggj11.sys.vir  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Winbg78.sys.vir  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Winfm41.sys.vir  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Winni02.sys.vir  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Winnq54.sys.vir  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Winui47.sys.vir  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\syskernel.exe.vir  Infect&#1497; : Trojan-Clicker.Win32.Delf.aij  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\uesk702.exe.vir  Infect&#1497; : Trojan-Downloader.Win32.Agent.sub  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\uesk703.exe.vir  Infect&#1497; : Rootkit.Win32.Podnuha.eg  ignor&#1497;  
 
C:\QooBox\Quarantine\C\WINDOWS\system32\winds32.exe.vir  Infect&#1497; : Email-Worm.Win32.Zhelatin.ach  ignor&#1497;  
 
C:\QooBox\Quarantine\C\xdyytq.exe.vir  Infect&#1497; : Worm.Win32.Socks.agh  ignor&#1497;  
 
C:\QooBox\Quarantine\catchme2008-06-24_184805.17.zip/dewt.dll  Infect&#1497; : Trojan-Downloader.Win32.Agent.lyb  ignor&#1497;  
 
C:\QooBox\Quarantine\catchme2008-06-24_184805.17.zip  ZIP: infect&#1497; - 1  ignor&#1497;  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0000022.dll  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aea  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0004016.dll  Infect&#1497; : Rootkit.Win32.Podnuha.fk  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0004017.exe  Infect&#1497; : Rootkit.Win32.Podnuha.eg  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0004018.dll  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aea  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP1\A0004047.exe  Infect&#1497; : Trojan-Downloader.Win32.Agent.sju  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP2\A0004057.dll  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aea  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009083.exe  Infect&#1497; : Trojan.Win32.Patched.aa  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009084.dll  Infect&#1497; : Trojan-Downloader.Win32.Satray.bw  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009087.exe  Infect&#1497; : Trojan-Downloader.Win32.Agent.sju  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009089.exe  Infect&#1497; : Trojan-Spy.Win32.Zbot.cha  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009095.exe  Infect&#1497; : Email-Worm.Win32.Zhelatin.ach  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009096.exe  Infect&#1497; : Trojan-Downloader.Win32.Agent.tya  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009103.exe  Infect&#1497; : Rootkit.Win32.Qandr.bu  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009107.exe  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aed  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009110.sys  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009111.sys  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009112.sys  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009113.sys  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009114.sys  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aim  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0009115.dll  Infect&#1497; : Rootkit.Win32.Podnuha.fk  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0010222.exe  Infect&#1497; : Rootkit.Win32.Agent.aqa  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0010223.exe  Infect&#1497; : Trojan-Downloader.Win32.Small.iyu  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0010224.exe  Infect&#1497; : P2P-Worm.Win32.Socks.y  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0010226.exe  Infect&#1497; : Trojan-Downloader.Win32.Small.iyu  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0010227.exe  Infect&#1497; : Trojan-Downloader.Win32.Agent.sfg  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0010228.exe  Infect&#1497; : Trojan-Downloader.Win32.Winlagons.ow  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0010229.exe  Infect&#1497; : Trojan-Downloader.Win32.Winlagons.ow  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0010232.sys  Infect&#1497; : Rootkit.Win32.Agent.auj  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011451.exe  Infect&#1497; : Trojan-Downloader.Win32.Agent.sxh  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011452.exe  Infect&#1497; : Trojan-Downloader.Win32.Mutant.aec  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011453.exe  Infect&#1497; : Trojan-Proxy.Win32.Agent.ane  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011454.exe  Infect&#1497; : Trojan-Downloader.Win32.Agent.tpf  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011455.exe  Infect&#1497; : Trojan-Proxy.Win32.Agent.ane  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011456.exe  Infect&#1497; : Worm.Win32.Socks.agh  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011457.exe  Infect&#1497; : Trojan-Clicker.Win32.Delf.aij  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011458.exe  Infect&#1497; : Trojan-Downloader.Win32.Agent.sub  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011459.exe  Infect&#1497; : Rootkit.Win32.Podnuha.eg  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\A0011460.exe  Infect&#1497; : Worm.Win32.Socks.agh  ignor&#1497;  
 
C:\System Volume Information\_restore{5495E80A-8DB9-4BE8-912C-4157B491C574}\RP3\change.log  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\CSC\00000001  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\explorer.exe  Infect&#1497; : Trojan.Win32.Patched.aa  ignor&#1497;  
 
C:\WINDOWS\system32\CatRoot2\edb.log  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\CatRoot2	mp.edb  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\Antivirus.Evt  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\default  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\software  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\system  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\lsass.exe  Infect&#1497; : Trojan.Win32.Patched.aa  ignor&#1497;  
 
C:\WINDOWS\system32\services.exe  Infect&#1497; : Trojan.Win32.Patched.aa  ignor&#1497;  
 
C:\WINDOWS\system32\spoolsv.exe  Infect&#1497; : Trojan.Win32.Patched.aa  ignor&#1497;  
 
C:\WINDOWS\system32\svchost.exe  Infect&#1497; : Trojan.Win32.Patched.aa  ignor&#1497;  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouill&#1497;  ignor&#1497;  
 
C:\WINDOWS\system32\winlogon.exe  Infect&#1497; : Trojan.Win32.Patched.aa  ignor&#1497;  
 
E:\Amar\Perso\dossiers.pst/Dossiers personnels/Boîte de réception/Amis/06 Oct 1999 16:26 from Didier_Amar@ernst-young.fr:Anim du jour/Hello.exe  Infect&#1497; : not-virus:BadJoke.Win32.Baton.a  ignor&#1497;  
 
E:\Amar\Perso\dossiers.pst  MailMSMaill: infect&#1497; - 1  ignor&#1497;  
 
E:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouill&#1497;  ignor&#1497;  
 
F:\Amar dans E\Perso\dossiers.pst/Dossiers personnels/Boîte de réception/Amis/06 Oct 1999 16:26 from Didier_Amar@ernst-young.fr:Anim du jour/Hello.exe  Infect&#1497; : not-virus:BadJoke.Win32.Baton.a  ignor&#1497;  
 
F:\Amar dans E\Perso\dossiers.pst  MailMSMaill: infect&#1497; - 1  ignor&#1497;  
 
F:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouill&#1497;  ignor&#1497;  
 
Analyse termin&#1497;e.

Utilisateur anonyme · Answer

Salut ¨PAtou.... Et oui : le P2P est un repère à véroles..... Alors : Je t'annonce la couleur : je n'ai pas relu toute la discussion. Je ne sais plus trop où on en ait... Mais te propose de tout faire pour essayer de récupérer le système (étant donné qu'on est déjà bien embarqué -presque tout fait- dans la procédure). Alors, > Télécharge OTMoveIT (de Old_Timer) : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe sur ton bureau... - Double-clique sur OTMoveIt.exe pour le lancer. - Assure toi que la case "Unregister Dll's and Ocx's" est bien cochée !!! - Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé . C:\Documents and Settings\All Users\Documents\AOL Password Cracker.exe י C:\Documents and Settings\All Users\Documents\Windows 2003 Advanced Server KeyGen.exeי - Clique sur < MoveIt! > pour lancer la suppression. - Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante stp. Ensuite, Tu as un mail infecté, peux tu supprimer celui là : E:\Amar\Perso\dossiers.pst/Dossiers personnels/Boîte de réception/Amis/06 Oct 1999 16:26 from Didier_Amar@ernst-young.fr:Anim du jour/Hello.exe י יי Après, > Tu peux aussi vider ta corbeille. > Désactive et réactive la restauration de système, pour cela : suis les instructions de ce lien : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924 Puis refais Kaspersky en ligne stp. Comment va le PC ? Après j'ai des propositions de système d'exploitations si tu veux vraiment formater.... Bonne soirée.

Virus Advanced XP Fixer

34 réponses

Votre réponse

Discussions similaires

Newsletters